Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-06-15 07:05:45
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Quo Vadis Debian?
Kiedyś czytałem, m.in w poście azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.
I taka obserwacja:
Ubuntu, które pracuje nad takimi zabezpieczeniami nie mam pod ręką, porównałem z Gentusiem, stawianym ze stage hardened, i standardownym obecnie kernelem gentoo-sources, bez grsecurity czy paxa.
Debian:
Sznurek: http://jacekalex.sh.dug.net.pl/check-debian
Gentoo - hardened:
Sznurek: http://jacekalex.sh.dug.net.pl/check-gentoo
Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.
Ale porównaie jest pocieszne, wykonane tym samym skryptem w obu przypadkach.
Skrypt, którym testowałem, kopia: http://jacekalex.sh.dug.net.pl/checksec2
Polecenie
Kod:
./checksec2 --proc-all
Życzę Debianowi jak najlepiej, i mam nadzieję, że oprócz liderowania popularnością, i przewidywalnością, polideruje troszkę w dziedzinie bezpieczeństwa.
Na razie widzę, ze stopniowo się pojawiają, może w 5 czy 10 programach miesięcznie, ale do 1/5 z z 23000 programów w ten sposób droga jest bardzo daleka.
Proponuję zobaczyć powyższym skryptem także Debiana Sida, jak ktoś posiada, i Ubuntu, którego ja w tej chiwili już nie posiadam, i wolnej partycji dla niego nie mam.
Ja generalnie w dziedzinie programowania jestem lama totalna, ale zauważyłem, że włączenie całej artylerii pancernych flag kompilatora ma negatywny wpływ na jakieś 3 do 5% programów.
Np obecnie, na stabilnym kompilatorze gcc-4.4.5 nie udalo mi się skompilować żadnej wersji webkit-gtk, xen-tools i virtualboxa.
Ale reszta śmiga, bez żadnych kłopotów, stabilnie, i prawidłowo.
Używam takich ustawień kompilatora:
Kod:
CHOST="i686-pc-linux-gnu"
CFLAGS="-march=native -O2 -pipe -fstack-protector-all"
CXXFLAGS="${CFLAGS}"
LDFLAGS="-Wl,-O1 -Wl,--as-needed"Kod:
gcc version 4.4.5 (Gentoo Hardened 4.4.5 p1.2, pie-0.4.5) qlist -IvU sys-devel/gcc sys-devel/gcc-4.4.5 (fortran gtk hardened mudflap nls nptl openmp)
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-11-28 04:01:34)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#2 2011-06-15 07:34:51
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Quo Vadis Debian?
Jacekalex napisał(-a):
Kiedyś czytałem, m.in w poście Azhaga, że Debian planuje stosowanie mocniejszych flag kompilatora, aby troche utwardzić system na wypadek rozmaitych, jeszcze nieznanych exploitów.
Sznurek: http://wiki.debian.org/Hardening
Pięknie opisane....
W Squeeze test takich zabezpieczeń wypadł mizernie, ale myślę - okay, w końcu to stabilny system, nie chą go zepsuć.
Tylko, że ja Squeeze aktualizowałem właśnie do testinga, pobrał sobie zaledwie 528MB aktualizacji, czyli troszkę.
I przy okazji rzuciłem okiem, żeby zobaczyć, co się zmieniło z tymi pancer flagami gcc.
(...)
Nie wiem, ile czasu mija od planowania, do roboty, w Debianie.
Po DebConfie: http://dug.net.pl/news/219/
Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712
Offline